Tengo un servidor de alojamiento dedicado que tiene pocos sitios web en ejecución. Recientemente accedí a mi servidor a través de la línea cmd del terminal y noté que los últimos comandos que se ejecutaron parecen sospechosos y no estoy seguro de qué hacer. A continuación se muestra la lista de comandos que se ejecutaron:
iptables -L -nv
apt update
yum install nmap
nmap -Ss -O 89.169.183.2
nmap -sS -O 89.169.183.2
nmap -O 89.169.183.2
¿Alguien tiene alguna idea de lo que significan estos comandos y qué tipo de acción debo tomar en el servidor? ¿Debo desinstalar 'nmap'? Si es así, ¿cómo?
Nota:La dirección IP se rastrea a algún lugar de Rusia.
Respuesta aceptada:
La persona ha usado iptables para investigar las reglas de su cortafuegos y yum para instalar nmap . Esto se ha hecho como root.
nmap es una herramienta para investigar de forma remota el estado de las capacidades de red de otra máquina, en términos generales.
Le permite a una persona encontrar puertos abiertos y buscar características de un host remoto, y posiblemente determinar qué sistema operativo está usando otra persona en su máquina (esto es lo que el -O flag lo hace, y requiere permisos de root).
El nmap La utilidad en sí no es una herramienta peligrosa, pero debe tener en cuenta que alguien (que no conoce) ha tenido acceso a la cuenta raíz de su máquina .
Si usted u otro administrador legítimo no escribieron esos comandos, entonces su máquina ha sido comprometida .
En ese caso, ya no te pertenece y no puedes confiar en nada .
Consulte "¿Cómo trato con un servidor comprometido?" en ServerFault. Además, dependiendo de quién sea y dónde se encuentre, es posible que tenga la obligación legal de informar esto a las autoridades. Este es el caso en Suecia si trabajas en una agencia estatal (como una universidad, por ejemplo).